Chapitre 2 — Authentification & AAA
L'authentification est la vérification de l'identité. Ce module couvre les facteurs d'authentification, MFA, les protocoles AAA (RADIUS, TACACS+), l'identification fédérée et les technologies biométriques.
| Facteur | Catégorie | Exemples | Risques |
|---|---|---|---|
| Mot de passe, PIN, question secrète | Connaissance (Savoir) | Password, PIN, passphrase | Phishing, brute force, keylogger |
| Carte à puce, token OTP, téléphone | Possession (Avoir) | TOTP app, SMS OTP, YubiKey | Vol, SIM swapping |
| Empreinte, visage, iris, voix | Inhérence (Être) | Touch ID, Face ID, reconnaissance iris | Usurpation biométrique, deepfake |
| Localisation GPS, réseau | Lieu (Où) | Connexion depuis IP d'entreprise | VPN bypass, IP spoofing |
| Comportement, rythme frappe | Action (Faire) | Rythme de frappe, mouvements souris | Difficile à usurper |
MFA vs 2FA vs SFA
- SFA (Single Factor) : un seul facteur. Ex: mot de passe seul. Vulnérable.
- 2FA : deux facteurs. Typiquement mot de passe + OTP. Beaucoup plus résistant au phishing.
- MFA (Multi-Factor) : deux facteurs ou plus de catégories différentes. Mot de passe + SMS = 2FA. Mot de passe + SMS + empreinte = MFA à 3 facteurs.
MFA résiste aux attaques de phishing car l'attaquant qui vole le mot de passe n'a pas le second facteur. Mais le SMS OTP est vulnérable au SIM swapping — TOTP (Time-based OTP comme Google Authenticator) est plus sûr. Les passkeys (FIDO2) sont phishing-resistant par conception.
RADIUS vs TACACS+
| Caractéristique | RADIUS | TACACS+ |
|---|---|---|
| Port | 1812 (auth), 1813 (accounting) | 49/TCP |
| Transport | UDP | TCP (plus fiable) |
| Chiffrement | Mot de passe uniquement | Corps entier du paquet |
| AAA | Auth+Accounting combinés | Auth, Authz, Accounting séparés |
| Usage principal | Wi-Fi 802.1X, VPN, accès réseau | Administration de périphériques réseau (Cisco) |
| Origine | IETF standard | Propriétaire Cisco |
Kerberos
Protocole d'authentification à ticket utilisé dans les environnements Active Directory Windows.
- KDC (Key Distribution Center) : serveur central d'authentification Kerberos (souvent le DC AD).
- TGT (Ticket Granting Ticket) : ticket initial obtenu après authentification. Valide 10h par défaut.
- TGS (Ticket Granting Service) : ticket spécifique à un service (ex: accès à un serveur de fichiers).
- Avantage : single sign-on sur le domaine. Port 88/TCP+UDP.
- Attaques : Pass-the-Ticket, Kerberoasting (vol de TGS pour cracker des mots de passe de comptes de service).
LDAP & Active Directory
LDAP (Lightweight Directory Access Protocol) : protocole d'accès aux annuaires. Port 389/TCP (non chiffré) ou 636/TCP (LDAPS, chiffré).
- Active Directory (AD) de Microsoft utilise LDAP pour stocker et interroger les comptes utilisateurs.
- AD DS (Active Directory Domain Services) : gestion des identités centralisée pour les environnements Windows.
| Terme | Définition |
|---|---|
| FAR (False Acceptance Rate) | % de fois où un imposteur est accepté. FAR élevé = système trop permissif. |
| FRR (False Rejection Rate) | % de fois où un utilisateur légitime est rejeté. FRR élevé = système trop strict. |
| CER/EER (Crossover Error Rate) | Point où FAR = FRR. Plus le CER est bas, plus le système est précis. |
Trouver le bon équilibre : baisser le seuil → moins de FRR mais plus de FAR. Le CER est la métrique standard pour comparer des systèmes biométriques.